KR20170046001A - 침입탐지 오탐 개선을 위한 시스템 및 방법 - Google Patents

침입탐지 오탐 개선을 위한 시스템 및 방법 Download PDF

Info

Publication number
KR20170046001A
KR20170046001A KR1020150146241A KR20150146241A KR20170046001A KR 20170046001 A KR20170046001 A KR 20170046001A KR 1020150146241 A KR1020150146241 A KR 1020150146241A KR 20150146241 A KR20150146241 A KR 20150146241A KR 20170046001 A KR20170046001 A KR 20170046001A
Authority
KR
South Korea
Prior art keywords
information
intrusion detection
vulnerability
intrusion
event
Prior art date
Application number
KR1020150146241A
Other languages
English (en)
Other versions
KR101768079B1 (ko
Inventor
김도형
Original Assignee
에스케이플래닛 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이플래닛 주식회사 filed Critical 에스케이플래닛 주식회사
Priority to KR1020150146241A priority Critical patent/KR101768079B1/ko
Publication of KR20170046001A publication Critical patent/KR20170046001A/ko
Application granted granted Critical
Publication of KR101768079B1 publication Critical patent/KR101768079B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 침입탐지 오탐 개선을 위한 시스템 및 방법에 관한 것으로서, 보호 대상이 되는 적어도 하나의 자산(asset)의 취약점을 점검하고, 그 점검결과정보와 취약점정보를 위협탐지시스템으로 전송하는 취약점 스캐너, 외부로부터 내부망 보호를 위한 승인정보와 차단정보를 상기 위협탐지시스템으로 전송하는 침입차단 시스템, 시그니처 기반으로 외부 공격을 탐지하고, 침입탐지이벤트를 상기 위협탐지시스템으로 전송하는 침입탐지시스템, 상기 취약점 스캐너, 침입차단시스템, 침입탐지시스템으로부터 로그정보를 수집하고, 상기 수집된 로그정보를 근거로 점검대상, 상관분석 시나리오, 탐지규칙 중 적어도 하나를 업데이트하는 위험탐지시스템을 포함한다.

Description

침입탐지 오탐 개선을 위한 시스템 및 방법{SYSTEM AND METHOD FOR IMPROVEMENT INVASION DETECTION}
본 발명은 침입탐지 오탐 개선을 위한 시스템 및 방법에 관한 것으로서, 더욱 상세하게는 침입탐지시스템의 오탐 확률을 줄이기 위해 취약점이 있는 점검대상, 탐지규칙, 상관분석 시나리오 중 적어도 하나를 자동으로 업데이트하는 침입탐지 오탐 개선을 위한 시스템 및 방법에 관한 것이다.
컴퓨터의 급속한 보급과 인터넷의 사용이 일반화되면서, 인터넷을 통한 서비스 확산에 따라 보안 문제의 중요성이 높아지고 있다. 이러한 보안문제를 해결하기 위해 유해 트래픽에 대한 침입탐지 시스템 또는 침입차단 시스템이 개발되었다. 침입방지/침입차단 시스템은 효과적으로 전자적 침해행위를 방지하고 차단할 수 있는 것으로서, 가입자 네트워크와 공중망 네트워크와의 접속점, 또는 가입자 네트워크 내부에 설치하여 입/출력되는 트래픽의 이상 여부를 검출하여 유해 트래픽을 차단하고 있다.
침입탐지 시스템은, 네크워크 자산(asset)에 대한 공격시 네트워크를 구성하는 개별 자산이 가진 취약성(Vulnerability)과는 무관하게 침입탐지 시스템(Instrusion Detection System: IDS)에서 관리하는 위협(Threat) 및 공격(Attack) 정보, 사용자가 지정한 해당 공격의 위험 정보를 바탕으로 특정 공격 발생시의 침입 여부를 판별한다. 이 때문에, 관리중인 네트워크 자산과 관련이 없거나 이미 자산에 위협이 되지 못하는(이미 해당 공격에 대해 패치나 업그레이드가 되어 있는 경우 등) 침입시도에 대한 알람(alarm)이나 로그를 상당수 생성하게 된다. 이를 False positive라 하는데, 이러한 False positive들이 많음으로 인하여 해당 네트워크를 운용하는 인력의 부담을 가중시키며, 또한 보안사고대처에 많은 지장을 초래한다.
또한, 침입탐지 시스템은 CVE 리스트(Common Vulnerabilities and Express List) 등에서 제공하는 취약점 리스트와 CERT 등에서 제공하는 취약점과 관련된 위협 리스트를 기반으로 위협 패턴에 대한 DB를 구축한 후, 네트워크를 통과하는 트래픽을 감청하여 위협 패턴에 해당하는 트래픽이 발생하면 경고 및 알람을 발생시켜 위협을 알려주는 역할을 한다.
참고로, 네트워크상의 정보자산은 알려진 또는 알려지지 않은(Known/Unknown) 소프트웨어 취약점을 가지고 있으며, 이들 취약점은 대표적으로 미국 NIST(National Institute of Security Technology)에서 ICAT란 Meta DB의 형태로 관리하며, 이들 DB는 다시 CVE(Common Vulnerability and Exposure) ID가 부여한 정제된 형태의 DB로 가공되며, N(Network)-IDS나 VAS업체는 이들 DB와 알려진 다양한 취약점 정보들을 이용하여 관련 시스템의 DB를 구축한다. 침입탐지시스템은 상기 DB에 근거한 signature를 사이버 공격을 탐지한다.
이러한 침입탐지 시스템은, 얼마나 많은 침입을 탐지할 수 있는가 내지는 얼마나 정확하게 침입을 탐지할 수 있는가 등으로 성능이 결정되기 때문에, 위협 리스트와 취약점 리스트의 증가에 따라 오탐(잘못된 탐지)하는 확률이 높아진다는 문제점이 있다.
상기 문제점으로 인해, 인터넷 통신 서비스 사업자의 네트워크 등에서는 침입탐지시스템에서 탐지해 낸 결과가 너무 많아서 분석을 못하거나 잘못된 탐지와 정확한 탐지의 구분이 곤란하여 침입탐지시스템의 운용에 어려움이 많다.
또한, 침입탐지시스템은 패턴매칭 방식(Signature), 임계치 등을 활용하여 내부 유입 트래픽을 분석하나, 해커나 신종 exploit 등 공개되지 않은 방식 또는 암호화(Encapsulation 포함) 방식 등을 활용한 유해 트래픽은 탐지할 수 없는 문제가 있다.
또한, 침입탐지시스템은 내부에 취약점이 존재하더라도 트래픽이 발생하지 않으면 그 취약점을 탐지하지 못하는 단점이 있다.
선행기술1: 한국등록특허 제1,092,024호: 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템
본 발명은 상기한 문제점을 해결하기 위하여 안출된 것으로, 침입탐지시스템의 오탐(잘못된 탐지) 확률을 줄일 수 있는 침입탐지 오탐 개선을 위한 시스템 및 방법을 제공함에 그 목적이 있다.
본 발명의 다른 목적은 외부공격 트래픽이 발생하지 않아도 침입탐지시스템이 내부 취약점을 탐지할 수 있는 침입탐지 오탐 개선을 위한 시스템 및 방법을 제공하는데 있다.
본 발명의 또 다른 목적은 침입탐지시스템의 탐지규칙을 자동으로 업데이트함으로써, 외부 공격이 없더라도 내부 취약점을 기반으로 IDS Signature를 생성하고, 이를 통해 유해 트래픽을 탐지할 수 있는 침입탐지 오탐 개선을 위한 시스템 및 방법을 제공하는데 있다.
본 발명의 또 다른 목적은 보안로그의 상관분석을 업데이트함으로써, 다수의 침해사고 지표(Indicator of Compromise)를 확보하여 능동적인 보안관제를 수행할 수 있도록 하는 침입탐지 오탐 개선을 위한 시스템 및 방법을 제공하는데 있다.
한편, 본 발명이 이루고자 하는 기술적 과제는 이상에서 언급한 기술적 과제로 제한되지 않으며, 이하에서 설명할 내용으로부터 통상의 기술자에게 자명한 범위 내에서 다양한 기술적 과제가 포함될 수 있다.
상술한 과제를 해결하기 위한 본 발명의 일 측면에 따르면, 보호 대상이 되는 적어도 하나의 자산(asset)의 취약점을 점검하고, 그 점검결과정보와 취약점정보를 위협탐지시스템으로 전송하는 취약점 스캐너, 외부로부터 내부망 보호를 위한 승인정보와 차단정보를 상기 위협탐지시스템으로 전송하는 침입차단 시스템, 시그니처 기반으로 외부 공격을 탐지하고, 침입탐지이벤트를 상기 위협탐지시스템으로 전송하는 침입탐지시스템, 상기 취약점 스캐너, 침입차단시스템, 침입탐지시스템으로부터 로그정보를 수집하고, 상기 수집된 로그정보를 근거로 점검대상, 상관분석 시나리오, 탐지규칙 중 적어도 하나를 업데이트하는 위험탐지시스템을 포함하는 침입탐지 오탐 개선을 위한 시스템이 제공된다.
상기 위협탐지시스템은 상기 취약점 스캐너로부터의 점검결과정보와 취약점 정보, 상기 침입차단시스템으로부터의 승인정보와 차단정보, 상기 침입탐지시스템으로부터의 침입탐지이벤트 중 적어도 하나가 저장된 데이터베이스, 상기 데이터베이스에 저장된 점검결과정보와 차단정보를 비교하여 점검대상을 추출하고, 상기 추출된 점검대상을 상기 취약점 스캐너의 점검스케줄에 추가하는 점검대상 추출부를 포함할 수 있다.
또한, 상기 위협탐지시스템은 상기 데이터베이스에 저장된 침입탐지이벤트 중에서 승인정보 및 점검결과정보에 존재하는 침입탐지이벤트를 추출하고, 상기 추출된 침입탐지이벤트와 해당 점검결과로부터 탐지규칙 관련정보를 추출하여 새로운 탐지규칙을 생성하는 탐지규칙 제어부를 더 포함할 수 있다.
또한, 상기 위협탐지시스템은 상기 데이터베이스에 저장된 침입탐지이벤트 중에서 승인정보 및 점검결과정보에 존재하는 침입탐지이벤트를 추출하고, 상기 추출된 침입탐지이벤트에 대응하는 점검결과로부터 취약점 관련정보를 추출하여 상관분석 시나리오를 생성하는 취약점 제어부를 더 포함할 수 있다.
상기 취약점 스캐너는 상기 점검스케줄에 추가된 점검대상에 트랙픽을 발생시킬 수 있다.
상기 위협탐지시스템은 상기 점검대상 추출부에서 추출된 점검대상에 트래픽을 전송하고, 상기 침입탐지시스템으로부터 상기 트래픽에 의한 침입탐지이벤트가 수신된 경우, 상기 수신된 침입탐지이벤트를 상기 데이터베이스에 저장하는 이벤트 처리부를 더 포함할 수 있다.
본 발명의 다른 실시예에 따르면, 위협탐지시스템이 침입탐지 오탐을 개선하기 위한 방법에 있어서, 취약점 스캐너로부터 점검결과정보와 취약점정보, 침입차단시스템으로부터 승인정보와 차단정보, 침입탐지시스템으로부터 침입탐지이벤트 중 적어도 하나를 포함하는 로그정보를 수집하는 단계, 상기 점검결과정보와 차단정보를 비교하여 점검대상을 추출하고, 상기 추출된 점검대상을 상기 취약점 스캐너의 점검스케줄에 추가하는 단계를 포함하는 침입탐지 오탐 개선을 위한 방법이 제공된다.
상기 침입탐지 오탐 개선을 위한 방법은 상기 수집된 침입탐지이벤트 중에서 승인정보 및 점검결과정보에 존재하는 침입탐지이벤트를 추출하고, 상기 추출된 침입탐지이벤트와 해당 점검결과로부터 탐지규칙 관련정보를 추출하여 새로운 탐지규칙을 생성하는 단계를 더 포함할 수 있다.
또한, 상기 침입탐지 오탐 개선을 위한 방법은 상기 수집된 침입탐지이벤트 중에서 승인정보 및 점검결과정보에 존재하는 침입탐지이벤트를 추출하고, 상기 추출된 침입탐지이벤트에 대응하는 점검결과로부터 취약점 관련정보를 추출하여 상관분석 시나리오를 생성하는 단계를 더 포함할 수 있다.
상기 취약점 스캐너는 상기 점검스케줄에 추가된 점검대상에 트랙픽을 발생시킬 수 있다.
한편, 이상에 살핀 상기 '침입탐지 오탐 개선을 위한 시스템 및 방법'은, 프로그램의 형태로 구현된 뒤에 전자 장치에서 판독 가능한 기록 매체에 기록되거나, 프로그램 다운로드 관리 장치(서버 등)를 통해 배포될 수 있다.
본 발명에 따르면, 침입탐지시스템의 오탐(잘못된 탐지) 확률을 줄일 수 있다.
또한, 외부공격 트래픽이 발생하지 않아도 침입탐지시스템이 내부 취약점을 탐지할 수 있다.
또한, 침입탐지시스템의 탐지규칙을 자동으로 업데이트함으로써, 외부 공격이 없더라도 내부 취약점을 기반으로 IDS Signature를 생성하고, 이를 통해 유해 트래픽을 탐지할 수 있다.
또한, 보안로그의 상관분석을 업데이트함으로써, 다수의 침해사고 지표(Indicator of Compromise)를 확보하여 능동적인 보안관제를 수행할 수 있다.
한편, 본 발명의 효과는 이상에서 언급한 효과들로 제한되지 않으며, 이하에서 설명할 내용으로부터 통상의 기술자에게 자명한 범위 내에서 다양한 효과들이 포함될 수 있다.
도 1은 본 발명의 실시예에 따른 침입탐지 오탐 개선을 위한 시스템을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 침입탐지 오탐 개선을 위한 시스템의 동작을 설명하기 위한 도면이다.
도 3은 본 발명의 실시예에 따른 위협탐지시스템의 구성을 개략적으로 나타낸 블럭도이다.
도 4는 본 발명에 따른 이벤트 데이터베이스의 구조를 나타낸 예시도이다.
도 5는 본 발명에 따른 점검결과 데이터베이스의 구조를 나타낸 예시도이다.
도 6은 본 발명에 따른 취약점 데이터베이스의 구조를 나타낸 예시도이다.
도 7을 본 발명에 따른 승인 데이터베이스의 구조를 나타낸 예시도이다.
도 8은 본 발명에 따른 차단 데이터베이스의 구조를 나타낸 예시도이다.
도 9는 본 발명의 실시예에 따른 침입탐지 오탐 개선을 위한 방법을 나타낸 도면이다.
도 10은 본 발명의 실시예에 따른 위협탐지시스템이 침입탐지 오탐을 개선하기 위한 방법을 나타낸 도면이다.
도 11은 본 발명의 실시예에 따른 침입탐지 오탐 개선을 위한 방법을 수행하는 기록매체를 설명하기 위한 도면이다.
이하, 첨부된 도면들을 참조하여 본 발명에 따른 '침입탐지 오탐 개선을 위한 시스템 및 방법'을 상세하게 설명한다. 설명하는 실시 예들은 본 발명의 기술 사상을 당업자가 용이하게 이해할 수 있도록 제공되는 것으로 이에 의해 본 발명이 한정되지 않는다. 또한, 첨부된 도면에 표현된 사항들은 본 발명의 실시 예들을 쉽게 설명하기 위해 도식화된 도면으로 실제로 구현되는 형태와 상이할 수 있다.
한편, 이하에서 표현되는 각 구성부는 본 발명을 구현하기 위한 예일 뿐이다. 따라서, 본 발명의 다른 구현에서는 본 발명의 사상 및 범위를 벗어나지 않는 범위에서 다른 구성부가 사용될 수 있다.
또한, 각 구성부는 순전히 하드웨어 또는 소프트웨어의 구성만으로 구현될 수도 있지만, 동일 기능을 수행하는 다양한 하드웨어 및 소프트웨어 구성들의 조합으로 구현될 수도 있다. 또한, 하나의 하드웨어 또는 소프트웨어에 의해 둘 이상의 구성부들이 함께 구현될 수도 있다.
또한, 어떤 구성요소들을 '포함'한다는 표현은, '개방형'의 표현으로서 해당 구성요소들이 존재하는 것을 단순히 지칭할 뿐이며, 추가적인 구성요소들을 배제하는 것으로 이해되어서는 안 된다.
도 1은 본 발명의 실시예에 따른 침입탐지 오탐 개선을 위한 시스템을 나타낸 도면, 도 2는 본 발명의 실시예에 따른 침입탐지 오탐 개선을 위한 시스템의 동작을 설명하기 위한 도면이다.
도 1을 참조하면, 침입탐지 오탐 개선을 위한 시스템은 취약점 스캐너(100), 침입차단 시스템(200), 침입탐지시스템(300), 보안로그 상관분석 시스템(400), 위협탐지시스템(500)을 포함하며, 이들은 통신망을 통해 데이터를 송수신할 수 있다. 여기서, 통신망은 유선 통신망, 무선통신망, 근거리 무선 통신망 등을 포함할 수 있다.
취약점 스캐너(100)는 보호 대상이 되는 적어도 하나의 자산(Asset)에 연동하여, 연동되는 자산의 취약점을 주기적으로 점검 및 분석하고, 그 분석결과를 위협탐지시스템으로 전송한다. 여기서, 자산(Asset)은 네트워크가 제공하는 기본적인 서비스인 정보유통 기능을 제공하는 전송장비와 정보처리 기능을 제공하는 네트워크 상의 각종 시스템 예컨대, 침입탐지 시스템, 각종 스위치, 라우터, 엑세스 장비 등을 포함할 수 있다. 취약점(Vulnerability)은 시스템이 비정상적인 동작을 수행하도록 하는데 악용될 수 있는 소프트웨어적 결함일 수 있다.
취약점 스캐너(100)는 연동되는 적어도 하나의 자산에 대한 포트 스캔을 수행하여 적어도 하나의 포트가 열려있는 자산을 외부의 공격대상이 될 수 있는 자산으로 검출할 수 있다. 그래서 취약점 스캐너(100)는 검출된 자산으로부터 기 설정된 적어도 하나의 명령어에 대한 응답 정보를 수집하고, 수집된 응답 정보를 기반으로 자산(120)의 취약점을 점검 및 분석할 수 있다. 이때, 포트 스캔이란 일반적으로 해킹의 준비과정으로 알려져 있는데, 특정 IP 주소 또는 도메인 네임을 갖는 서버에 어떤 포트가 열려있는지 또는 닫혀있는지를 알아내는 방식을 일컫는다.
또한, 취약점 스캐너(100)는 이렇게 점검 및 분석한 결과를 데이터베이스에 저장할 수 있을 뿐만 아니라 이를 위협탐지 시스템(500)으로 전송한다. 취약점 스캐너(100)는 취약점 점검결과를 관리자에게 통보할 수 있는데, 예컨대, E-mail이나 SMS 메시지 등을 관리자가 운영하는 관리자 단말기에 전송할 수 있다.
취약점 스캐너(100)는 접근할 수 있는 경로를 검출할 수 있는데, 예컨대, 포트 스캔을 통해 연동하는 모든 서비스 서버의 포트에 대한 스캔을 수행하여 그 포트 스캔의 수행 결과를 기반으로 외부의 공격대상이 될 수 있는 서버(장치, 시스템)를 검출할 수 있다. 이렇게 외부의 공격대상이 될 수 있는 서버가 검출되면, 취약점 스캐너(100)는 검출된 서버에 기 설정된 적어도 하나의 명령어를 순차적으로 전송하여 전송된 적어도 하나의 명령어에 대한 응답 정보를 수집할 수 있다. 그런 후, 취약점 스캐너(100)는 수집된 응답 정보를 기반으로 서버의 취약점을 점검 및 분석할 수 있는데, 수집된 응답 정보와 데이터베이스에 저장된 패턴 정보를 비교하여 그 비교한 결과에 따라 서버의 취약점을 점검 및 분석할 수 있다. 이때, 패턴 정보는 점검 대상이 되는 서버마다 그에 상응하는 취약점에 대한 정보를 의미할 수 있는데, 데이터베이스에 저장되어 관리될 수 있다. 취약점 스캐너(100)는 해당 서버의 취약점을 점검 및 분석한 결과를 데이터베이스에 저장하거나 위협탐지시스템(500)으로 전송한다.
이와 같이 취약점 스캐너(100)는 포트 스캔을 통하여 공격대상이 될 수 있는 서버를 검출하고 검출된 서버로부터 기 설정된 적어도 하나의 명령어에 따른 응답 정보를 제공받아 이를 기반으로 서버의 취약점을 점검하여 그 점검한 내용을 위협탐지시스템으로 전송함으로써, 서버의 피해를 미연에 방지할 수 있다.
취약점 스캐너(100)는 취약점 검색 스케줄에 따라 정기적으로 관리하는 서버의 취약점을 검색하고 그 결과를 보고하게 된다. 즉, 취약점 스캐너(100)는 취약점 관련 정보를 바탕으로 관리하는 서버에 존재할 수 있는 취약점의 존재 가능성을 점검한다. 이는 정상적이지 않은 접근을 허용할 수 있는 취약점, 정상적인 서비스를 방해하는 취약점 및 데이터를 유출, 변조 및 삭제할 수 있는 취약점의 존재 가능성 등을 검색할 수 있다. 그런 후 취약점 스캐너(100)는 점검된 취약점 가능성이 있는 정보들을 바탕으로 이를 취합하고, 논리연산을 통하여 취약점이 될 개연성이 높은 부분을 최적화한다. 즉, 외부에 존재하는 다수의 검색 엔진으로부터 도출된 결과들을 바탕으로 실제로 취약점이 될 가능성이 있는 결과를 도출한다. 취약점 스캐너(100)는 도출된 취약점 정보를 바탕으로 실제로 관리하는 서버의 취약점을 점검한다. 이러한 취약점 점검은 시스템 보안 취약점, 네트워크 보안 취약점 및 응용 프로그램 보안 취약점 등을 포함하여 검색된 취약점 중 관리하는 서버에서 취약점이 될 개연성이 높은 것들을 뽑아내어 취약점을 점검하는 것이다.
취약점 스캐너(100)는 위협탐지 시스템(500)으로부터 점검대상의 추가가 요청되면, 점검 스케줄에 해당 점검대상을 추가한다. 그런 후, 취약점 스캐너(100)는 점검 스케줄에 따라 트래픽을 발생하여 추가된 점검 대상에 전송한다.
침입차단시스템(200)은 외부의 승인되지 않은 네트워크 접속을 차단하는 것으로, 외부로부터 내부망을 보호 및 구분하는 역할을 수행하고, 침입차단시스템(200)의 승인, 차단결과는 위협탐지시스템(500)으로 전송한다.
침입차단시스템(200)은 차단DB에 저장되는 침입자정보와 승인DB에 저장된 액세스 제어 리스트(Access Control List)의 허용대상정보를 이용하여 특정 침입자를 차단한다. 그런 후, 침입차단시스템(200)은 승인, 차단 결과를 위협탐지시스템(500)으로 전송한다.
침입차단 시스템(200)은 효과적으로 전자적 침해행위를 방지하고 차단할 수 있는 것으로서, 가입자 네트워크와 공중망 네트워크와의 접속점, 또는 가입자 네트워크 내부에 설치하여 입/출력되는 트래픽의 이상 여부를 검출하여 유해 트래픽을 차단한다.
이러한 침입차단시스템(200)은 예컨대, 방화벽 등을 포함할 수 있다. 웹 방화벽은 외부의 인터넷 환경으로부터 유입되는 인터넷 데이터가 웹 방화벽이 관리하는 다수의 관리 웹서버로 전송될 경우에 인터넷 데이터에 포함된 여러 가지 비정상 쿼리 전송, 파라미터(parameter) 변조 및 입력값 등을 웹서버에 대한 여러 가지 공격을 차단하는 역할을 담당한다.
침입탐지 시스템(Instrusion Detection System: IDS)(300)은, 네크워크 자산에 대한 공격시 네트워크를 구성하는 개별 자산이 가진 취약성(Vulnerability)과는 무관하게 침입탐지 시스템(300)에서 관리하는 위협(Threat) 및 공격(Attack) 정보, 사용자가 지정한 해당 공격의 위험 정보를 바탕으로 특정 공격 발생시의 침입 여부를 판별한다.
침입탐지 시스템(300)은 CVE 리스트(Common Vulnerabilities and Express List) 등에서 제공하는 취약성 리스트와 CERT 등에서 제공하는 취약성과 관련된 위협 리스트를 기반으로 위협 패턴에 대한 탐지규칙을 구축한 후, 네트워크를 통과하는 트래픽을 감청하여 위협 패턴에 해당하는 트래픽이 발생하면 경고 및 알람을 발생시켜 위협을 알려주는 역할을 한다.
침입탐지시스템(300)은 외부 공격을 탐지하고, 탐지결과를 보안로그상관분석 시스템(400) 및 위협탐지시스템(500)으로 전송한다. 침입탐지시스템(300)은 시그니처 기반 탐지 메커니즘에 의해 외부 공격을 탐지하고, 침입탐지 이벤트를 보안로그상관분석 시스템(400)과 위협탐지시스템(500)으로 전송한다. 탐지규칙(Signature) DB에는 공격으로 의심되는 정보에 해당하는 정보에 대한 signature ID, signature 명, 심각도 레벨, packet payload 등이 저장된다.
보안로그 상관분석 시스템(400)은 침입탐지 시스템(300)으로부터 수집된 이벤트를 사전 정의된 규칙과 시나리오에 따라 서로 연계시키는(correlate) 역할을 한다. 예를 들어, 동일한 이벤트가 다수의 IP에서 발생하는 경우 발생한 이벤트들을 축약하고, 예외를 적용한 IP의 경우에는 이벤트 발생을 제한시킨다.
보안로그 상관분석 시스템(400)은 침입탐지시스템(300)에서 발생하는 정상탐지 로그 선별 및 개별 로그의 인과관계를 분석한다.
보안로그 상관분석 시스템(400)은 시간, 공격자, 대상 시스템, 이벤트 종류 등 분석 가능한 모든 이벤트 항목들에 대해서 연관관계를 분석한다. 상관관계를 분석하는 과정은 순서패턴, 분류규칙 등의 데이터 마이닝 알고리즘을 사용할 수 있다.
보안로그 상관분석 시스템(400)은 이벤트 또는 이벤트간의 이벤트 상관분석을 위한 규칙을 정의한 상관분석 규칙 스크립트의 언어 형식에 대한 자세한 내용을 담고 있다. 상관분석 언어를 통하여, 규칙을 생성하거나, 생성된 규칙을 갱신할 수 있으며, 생성된 규칙에 대한 규칙의 명칭 및 생성된 상관분석규칙이 속하는 대분류의 클래스(Class)를 지정하고, 정규화된 이벤트를 이벤트 DB로부터 참조하여 보안이벤트의 시간, 디바이스 ID, 네트워크 ID, 이벤트, 방화벽 규칙 ID, 침입탐지/침입차단 시스템의 Signature ID 등과 같이 정규화이벤트 파라미터 정보를 일반적인 AND, OR, 괄호, 비교연산자(== , != , < , > , =< , =>)를 통한 조합으로 문맥/조건(Context)을 생성하고, 또, 기 정의된 상관분석규칙에 의해 생성된 문맥/조건(Context)을 참조하여 다수개의 문맥/조건을 그룹으로 하여 새로운 문맥/조건을 생성할 수 있음을 나타낸다. 상관분석 언어를 활용하여, 정보 보호설비로부터 정규화 이벤트 파라미터를 바탕으로 이벤트 간, 정보 보호설비 간, 네트워크 간 이벤트의 상관분석이 가능하다.
위협탐지시스템(500)은 취약점 스캐너(100), 침입차단시스템(200), 침입탐지시스템(300)으로부터 로그정보를 수집하고, 수집된 로그정보를 근거로 점검대상, 상관분석 시나리오, 탐지규칙 중 적어도 하나를 업데이트한다.
위협탐지시스템(500)은 취약점 스캐너(100)의 점검결과정보와 침입차단시스템(200)의 차단정보를 비교하여 점검결과정보에 누락된 IP를 점검대상으로 추출하고, 추출된 점검대상을 취약점 스캐너(100)의 점검스케줄에 추가한다. 그러면, 취약점 스캐너(100)는 점검 스케줄에 따라 트래픽을 발생하여 추가된 점검대상에 전송한다.
위협탐지시스템(500)은 침입탐지시스템(300)으로부터 침입탐지 이벤트가 수신되면, 침입탐지이벤트를 취약점 스캐너의 점검결과정보와 비교하고, 그 비교결과에 근거하여 보안로그 상관분석 시스템(400)의 상관분석 시나리오를 업데이트한다.
또한, 위협탐지시스템(500)은 침입탐지이벤트를 취약점 스캐너(100)의 취약점 정보와 비교하고, 그 비교결과에 근거하여 신규작성이 필요한 침입탐지시스템(300)의 탐지규칙을 업데이트한다. 즉, 위협탐지시스템(500)은 취약점은 존재하나 탐지규칙이 없는 경우 이를 관리자에게 통보하여 해당 탐지규칙이 생성되도록 한다.
또한, 위협탐지시스템(500)은 침입탐지이벤트가 침입차단시스템(200)의 허용정보와 취약점 스캐너(100)의 점검결과정보에 포함된 경우, 침입탐지이벤트에 해당하는 점검결과정보로부터 취약점 관련 정보를 추출하고, 추출된 취약점 관련 정보를 근거로 보안로그 상관분석 시스템(400)의 상관분석 시나리오를 업데이트한다. 즉, 위협탐지시스템(500)은 침입차단시스템(200)에서 허용된 IP로 침입탐지이벤트가 발생된 경우 상관분석 시나리오에 자동으로 적용한다.
또한, 위협탐지시스템(500)은 취약점 스캐너(100)의 트래픽 발생조건과 침입탐지시스템의 탐지규칙을 비교하여 침입탐지시스템(300)의 오탐을 감소시킬 수 있다.
이러한 위협탐지시스템(500)에 대해 도 3을 참조하여 설명하기로 한다.
이하 상기와 같이 구성된 침입탐지 오탐 개선을 위한 시스템의 동작에 대해 도 2를 참조하여 설명하기로 한다.
취약점 스캐너(100)는 보호 대상이 되는 서버를 스캔하여 서버에 대한 취약점을 점검하고, 그 점검결과정보와 취약점 정보를 위협탐지시스템(500)으로 전송한다.
위협탐지 시스템(500)은 취약점 스캐너(100), 침입차단시스템(200), 침입탐지시스템(300)으로부터 로그정보를 수집하여 저장한다. 여기서, 로그정보는 취약점 스캐너(100)로부터의 점검결과정보와 취약점 정보, 침입차단시스템(200)으로부터의 승인 정보와 차단 정보, 침입탐지시스템(300)으로부터 침입탐지이벤트를 포함할 수 있다.
위협탐지시스템(500)은 취약점 스캐너(100)의 점검결과정보와 침입차단시스템(200)의 차단정보를 비교하여 점검결과정보에 누락된 IP를 점검대상으로 추출하고, 추출된 점검대상을 취약점 스캐너(100)의 점검스케줄에 추가한다. 취약점 스캐너(100)는 점검 스케줄에 추가 요청된 점검대상을 추가하고, 점검 스케줄에 따라 트래픽을 발생하여 추가된 점검 대상에 전송한다.
그러면, 침입탐지시스템(300)은 취약점 스캐너(100)에서 발생된 트래픽을 검사하여 침입을 탐지하고, 침입이 탐지된 경우, 침입탐지이벤트를 위협탐지시스템(500)과 보안로그 상관분석 시스템(400)으로 전송한다.
위협탐지 시스템(500)은 침입탐지이벤트를 점검결과정보와 비교하고, 그 비교결과에 근거하여 보안로그 상관분석 시스템(400)의 상관분석 시나리오를 업데이트한다. 또한, 위협탐지시스템(500)은 침입탐지이벤트를 취약점 정보와 비교하고, 그 비교결과에 근거하여 침입탐지시스템(300)의 탐지규칙을 업데이트한다. 또한, 위협탐지시스템(500)은 침입탐지이벤트가 허용정보와 점검결과정보에 포함된 경우, 침입탐지이벤트에 해당하는 점검결과정보로부터 취약점 관련 정보를 추출하고, 추출된 취약점 관련 정보를 근거로 보안로그 상관분석 시스템(400)의 상관분석 시나리오를 업데이트한다.
도 3은 본 발명의 실시예에 따른 위협탐지시스템의 구성을 개략적으로 나타낸 블럭도, 도 4는 본 발명에 따른 이벤트 데이터베이스의 구조를 나타낸 예시도, 도 5는 본 발명에 따른 점검결과 데이터베이스의 구조를 나타낸 예시도, 도 6은 본 발명에 따른 취약점 데이터베이스의 구조를 나타낸 예시도, 도 7을 본 발명에 따른 승인 데이터베이스의 구조를 나타낸 예시도, 도 8은 본 발명에 따른 차단 데이터베이스의 구조를 나타낸 예시도이다.
도 3을 참조하면, 위협탐지시스템(500)은 데이터베이스(510), 점검대상 추출부(520), 이벤트 처리부(530), 상관분석 제어부(540), 탐지규칙 제어부(550), 취약점 제어부(560), 제어부(570)를 포함한다.
데이터베이스(510)에는 취약점 스캐너, 침입차단시스템, 침입탐지시스템으로부터 수집된 로그 정보가 저장된다. 이러한 데이터베이스(510)는 이벤트 데이터베이스(511), 점검결과 데이터베이스(512), 취약점 데이터베이스(513), 승인 데이터베이스(514), 차단 데이터베이스(516)를 포함한다.
이벤트 데이터베이스(511)에는 침입탐지시스템에서 탐지된 이벤트들에 대한 정보가 저장된다. 이벤트 데이터베이스(511)에 저장된 이벤트의 구조에 대해 도 4를 참조하면, 이벤트 데이터베이스(511)에는 time, 이벤트 명(event_name), 출발지 IP(SRC_IP), 목적지 IP(Target_IP), 이벤트 정보(Event_Info(URL, PROTOCOL, PORT, Argument)) 등의 이벤트정보가 이벤트 테이블(Event_table)에 저장된다.
1) 점검결과 데이터베이스(512)에는 취약점 스캐너가 점검한 시스템들에 대한 점검결과정보가 저장된다. 점검결과 데이터베이스(512)에 저장된 점검결과정보의 구조에 대해 도 5를 참조하면, IP, Hostname, OS, Scan time, Scan_IP, Malware_exit, exploit_exist, Service, Port, Protocol, CVE_ID, CVE(Common Vulnerabilities and Exposures), CVSS(Common Vulnerability Scoring System), Vul_ID(Vulnerability Identification) 등의 점검결과정보가 점검결과테이블(Asset_table)에 저장된다. 여기서, Malware_exit는 멀웨어 존재여부, exploit_exist는 취약점 존재여부를 의미한다. CVE_ID는 취약점에 대한 numbering 체계로, 유사한 취약점이라도 특징, 공격방법에 따라 다른 ID가 부여된다. CVSS는 취약점에 대해 중요도, 영향도를 점수화하기 위한 개념일 수 있다.
취약점 데이터베이스(513)에는 취약점 스캐너의 점검에 의해 노출된 취약점 정보가 저장된다. 취약점 데이터베이스(513)에 저장된 취약점 정보의 구조에 대해 도 6을 참조하면, 취약점 ID(Vul_ID), IP, Title, PORT, CVE, X-force, Proof, OSVDB(open sourced vulnerability database) 등의 취약점 정보가 취약점 테이블(Exploit_table)에 저장된다. 여기서, X-force는 취약점 연구기관의 명칭, Proof는 취약점 진단결과에서 활용되는 증빙일 수 있다.
승인 데이터베이스(514)에는 침입차단시스템의 승인 결과에 대한 정보가 저장된다. 승인 데이터베이스(514)에는 도 7과 같은 형태로 승인 정보가 저장된다. 도 7을 참조하면, Host, ID, time, DST(destination), DST_port(destination Port), DST_Zone, Policy_ID, Action, Protocol, SENT_Size, Service_port, Session_ID, SRC(Source), SRC_port, SRC_Zone 등의 승인정보가 승인 테이블(Access_table)에 저장된다.
차단 데이터베이스(515)에는 침입차단시스템의 차단 결과에 대한 정보가 저장된다. 차단 데이터베이스(515)에는 도 8과 같은 형태로 차단 정보가 저장된다. 도 8을 참조하면, Host, ID, time, DST, DST_port, DST_Zone, Policy_ID, Action, Protocol, SENT_Size, Service_port, Session_ID, SRC, SRC_port, SRC_Zone 등의 차단정보가 차단테이블(Deny_table)에 저장된다.
여기에서는 데이터베이스(510)가 위협탐지시스템(500)에 포함되어 구성되는 것으로 도시되어 있지만, 본 발명을 구현하는 당업자의 필요에 따라, 데이터베이스(510)는 위협탐지시스템(500)과 별개로 구성될 수도 있다.
점검대상 추출부(520)는 점검결과 데이터베이스(512)의 점검결과정보와 차단 데이터베이스(515)의 차단정보를 비교하여 점검대상을 추출하고, 추출된 점검대상을 취약점 스캐너의 점검스케줄에 추가한다. 즉, 점검대상 추출부(520)는 점검결과정보의 IP와 차단정보의 IP를 비교하여, 차단정보의 IP중에서 점검결과정보의 IP에 누락된 IP를 추출하고, 그 추출된 IP를 점검대상으로 추출한다.
이벤트 처리부(530)는 점검대상 추출부에서 추출된 점검대상들에게 트래픽을 발생시켜 전송하고, 침입탐지시스템으로부터 침입탐지이벤트가 수신된 경우, 수신된 침입탐지이벤트를 이벤트 데이터베이스(511)에 저장한다. 즉, 침입탐지 시스템 내부에 취약점이 존재하더라도 트래픽이 발생하지 않으면 취약점이 탐지되지 않으므로, 이벤트 처리부(530)는 취약점이 존재하는 점검대상들에게 트래픽을 발생시켜 전송한다. 그러면, 침입탐지시스템이 점검대상들에의 트래픽을 기 설정된 탐지규칙에 적용하여 침입탐지 여부를 결정한다. 침입탐지시스템은 침입이 탐지된 경우, 침입탐지 이벤트를 보안로그 상관분석 시스템 및 위협탐지시스템으로 전송한다.
또한, 이벤트 처리부(530)는 취약점 스캐너, 침입차단시스템, 침입탐지시스템으로부터 로그정보를 수집하고, 수집된 로그정보를 데이트베이스(510)에 저장한다.
즉, 이벤트 처리부(530)는 취약점 스캐너로부터 점검결과정보와 취약점정보를 수집하고, 점검결과정보는 점검결과데이터베이스에 저장하며, 취약점 정보는 취약점 데이터베이스에 저장한다.
또한, 이벤트 처리부(530)는 침입차단시스템으로부터 승인정보와 차단정보를 수집하고, 수집된 승인정보는 승인데이터베이스에 저장하며, 차단정보는 차단데이터베이스에 저장한다.
또한, 이벤트 처리부(530)는 침입탐지시스템으로부터 침입탐지이벤트를 수집하고, 수집된 침입탐지이벤트를 이벤트 데이터베이스에 저장한다. 이때, 이벤트 처리부(530)는 침입탐지시스템에서 발생한 이벤트 로그를 다양한 형식의 로그 전송 프로토콜을 통하여 수집하고, 이를 IDMEF 국제 표준에 기반하여 정규화(Normalization)한 후에 표준화된 이벤트로 변환하여 이벤트 데이터베이스(511)에 저장한다. 이벤트 데이터베이스(511)의 데이터 저장 형식은 하드디스크에 저장될 수도 있으며, 때에 따라 고속처리를 위한 메모리 DB 형식으로 존재할 수 있다.
상관분석 제어부(540)는 침입탐지이벤트를 점검결과 데이터베이스(512)에 저장된 점검결과정보와 비교하고, 그 비교결과에 근거하여 상관분석 시나리오를 생성하고, 생성된 상관분석 시나리오를 보안로그 상관분석 시스템에 업데이트한다.
즉, 상관분석 제어부(540)는 침입탐지이벤트에서 time, SRC_IP, Target_IP의 IP 정보를 추출하고, 추출된 IP정보가 점검결과 데이터베이스(512)에 포함되어 있는지의 여부를 판단한다. 그 판단결과 점검결과 데이터베이스(512)에 포함된 경우, 상관분석 제어부(540)는 침입탐지이벤트에서 이벤트명(event_name), PROTOCOL, PORT 등의 상관분석 시나리오 관련 정보를 추출하고, 추출된 상관분석 시나리오 관련정보를 이용하여 상관분석 시나리오를 생성하며, 생성된 상관분석 시나리오를 보안로그 상관분석 시스템에 업데이트한다.
상관분석 제어부(540)는 이벤트 또는 이벤트간의 이벤트 상관분석을 위한 규칙을 정의한 상관분석 규칙 스크립트의 언어 형식에 대한 자세한 내용을 담고 있고, 이러한 상관분석 언어를 통하여 상관분석 시나리오를 생성할 수 있다. 보안로그의 상관분석 시나리오를 업데이트함으로써, 다수의 침해사고 지표(Indicator of Compromise)를 확보하여 능동적인 보안관제를 수행할 수 있다.
탐지규칙 제어부(550)는 침입탐지이벤트를 취약점 데이터베이스(513)의 취약점 정보와 비교하고, 그 비교결과에 근거하여 침입탐지시스템의 탐지규칙을 업데이트한다.
즉, 탐지규칙 제어부(550)는 침입탐지이벤트에서 time, SRC_IP, Target_IP, event_name의 IP 정보를 추출하고, 추출된 IP 정보가 승인 데이터베이스(514)에 존재하는지를 판단한다. 그 판단결과 승인 데이터베이스(514)에 존재하는 경우, 탐지규칙 제어부(550)는 추출된 IP정보가 점검결과 데이터베이스(512)에 존재하는지를 판단한다. 그 판단결과 점검결과 데이터베이스(512)에 존재하는 경우, 탐지규칙 제어부(550)는 침입탐지이벤트에서 event_name, Target_IP, URL, PROTOCOL 등의 탐지규칙 관련정보1을 추출하고, 점검결과 데이터베이스(512)의 해당 점검결과에서 IP, Service, Port, Vul_ID 등의 탐지규칙 관련정보2를 추출한다. 그런 후, 탐지규칙 제어부(550)는 침입탐지 이벤트에서 추출된 탐지규칙 관련정보1과 해당 점검결과에서 추출된 탐지규칙 관련정보2를 조합하여 새로운 탐지규칙을 생성한다.
탐지규칙 제어부(550)는 생성된 탐지규칙을 침입탐지시스템의 탐지규칙에 업데이트한다. 침입탐지시스템의 탐지규칙을 자동으로 업데이트함으로써, 해커나 신종 exploit 등 공개되지 않은 방식 등에 의한 유해 트래픽을 탐지할 수 있는 효과가 있다.
취약점 제어부(560)는 침입탐지이벤트가 승인 데이터베이스(514)의 승인정보와 점검결과 데이터베이스(512)의 점검결과정보에 포함된 경우, 침입탐지이벤트에 해당하는 점검결과정보로부터 취약점 관련 정보를 추출하고, 추출된 취약점 관련 정보를 근거로 상관분석 시나리오를 생성하며, 생성된 상관분석 시나리오를 보안로그 상관분석 시스템에 추가한다.
즉, 취약점 제어부(560)는 침입탐지이벤트에서 time, SRC_IP, Target_IP, event_name의 IP 정보를 추출하고, 추출된 IP 정보가 승인 데이터베이스(514)에 존재하는지를 판단한다. 그 판단결과 승인 데이터베이스(514)에 존재하는 경우, 취약점 제어부(560)는 추출된 IP정보가 점검결과 데이터베이스(512)에 존재하는지를 판단한다. 그 판단결과 점검결과 데이터베이스(512)에 존재하는 경우, 취약점 제어부(560)는 점검결과 데이터베이스(512)에서 해당 IP, Service, Port, CVE의 취약점 관련 정보를 추출하고, 추출된 취약점 관련 정보를 이용하여 상관분석 시나리오를 생성하며, 생성된 상관분석 시나리오를 보안로그 상관분석 시스템에 업데이트한다. 이때, 취약점 제어부(560)는 상관분석 언어를 통하여 상관분석 시나리오를 생성할 수 있다.
취약점 제어부(560)는 침입차단시스템에서 허용된 IP로 침입탐지이벤트가 발생된 경우, 이를 보안로그 상관분석 시스템의 상관분석 시나리오에 자동으로 적용한다. 이처럼 보안로그의 상관분석 시나리오를 업데이트함으로써, 다수의 침해사고 지표(Indicator of Compromise)를 확보하여 능동적인 보안관제를 수행할 수 있다.
한편, 데이터베이스(510), 점검대상 추출부(520), 이벤트 처리부(530), 상관분석 제어부(540), 탐지규칙 제어부(550), 취약점 제어부(560) 각각은 컴퓨팅 장치상에서 프로그램을 실행하기 위해 필요한 프로세서 등에 의해 각각 구현될 수 있다. 이처럼 데이터베이스(510), 점검대상 추출부(520), 이벤트 처리부(530), 상관분석 제어부(540), 탐지규칙 제어부(550), 취약점 제어부(560) 각각은 물리적으로 독립된 각각의 구성에 의해 구현될 수도 있고, 하나의 프로세서 내에서 기능적으로 구분되는 형태로 구현될 수도 있다.
제어부(570)는 데이터베이스(510), 점검대상 추출부(520), 이벤트 처리부(530), 상관분석 제어부(540), 탐지규칙 제어부(550), 취약점 제어부(560)를 포함하는 위협탐지시스템(500)의 다양한 구성부들의 동작을 제어하는 구성이다.
이러한 제어부(570)는 적어도 하나의 연산 장치를 포함할 수 있는데, 여기서 상기 연산 장치는 범용적인 중앙연산장치(CPU), 특정 목적에 적합하게 구현된 프로그래머블 디바이스 소자(CPLD, FPGA), 주문형 반도체 연산장치(ASIC) 또는 마이크로 컨트롤러 칩일 수 있다.
이러한, 위협탐지시스템(500)은 단일의 연산 장치로 구현되거나 둘 이상의 연산 장치가 서로 연결된 집합 장치의 형태로 구현될 수도 있다. 예를 들어, 위협탐지 시스템(500)은 단일의 서버로 구현되거나 둘 이상의 서버가 연결된 형태로 구현될 수 있다.
상기와 같이 구성된 위협탐지시스템(500)은 통신망을 통해 통신하기 위한 통신부, 사용자로부터 정보를 입력받기 위한 입력부, 위협탐지시스템의 동작과 관련된 다양한 정보를 표시하는 디스플레이부, 위협탐지시스템의 동작과 관련된 데이터들을 저장하는 저장부를 포함할 수 있다.
도 9는 본 발명의 실시예에 따른 침입탐지 오탐 개선을 위한 방법을 나타낸 도면이다.
도 9를 참조하면, 위협탐지시스템은 취약점 스캐너, 침입차단시스템, 침입탐지시스템으로부터 로그정보를 수집하여 저장한다(S902). 이때, 위협탐지시스템은 취약점 스캐너로부터 점검결과정보와 취약점 정보를 수집하고, 침입차단시스템으로부터 승인 정보와 차단 정보를 수집하며, 침입탐지시스템으로부터 침입탐지이벤트를 수집한다.
S902가 수행되면, 위협탐지시스템은 취약점 스캐너의 점검결과정보와 침입차단시스템의 차단정보를 비교하여 점검대상을 추출한다(S904). 즉, 위협탐지시스템은 점검결과정보와 차단정보에서 각각 IP를 추출하고, 차단정보의 IP중에서 점검결과정보의 IP에 누락된 IP를 추출하여, 점검대상으로 추출한다.
그런 후, 위협탐지시스템은 점검대상정보를 포함하는 점검대상 추가 요청 신호를 취약점 스캐너로 전송한다(S906). 점검대상정보는 점검대상으로 추출된 IP 등을 포함할 수 있다.
점검대상 추가 요청 신호를 수신한 취약점 스캐너는 해당 점검대상을 점검스케줄에 추가하고(S908), 추가된 점검대상들에 트랙픽을 전송한다(S910).
그러면, 침입탐지시스템은 점검대상들에의 트래픽을 기 설정된 탐지규칙에 적용하여 침입탐지 여부를 판단하고(S912), 침입이 탐지된 경우, 침입탐지 이벤트를 위협탐지시스템으로 전송한다(S914).
위협탐지시스템은 침입탐지이벤트와 수집된 로그정보를 근거로 상관분석 시나리오 또는 탐지규칙을 업데이트한다(S916). 즉, 위협탐지시스템은 침입탐지이벤트의 IP 정보가 취약점 스캐너의 점검결과 IP정보에 포함된 침입탐지이벤트에서 이벤트명(event_name), PROTOCOL, PORT 등의 상관분석 시나리오 관련 정보를 추출하고, 추출된 상관분석 시나리오 관련정보를 이용하여 상관분석 시나리오를 생성한다.
또한, 위협탐지시스템은 침입탐지이벤트의 IP 정보가 침입차단시스템에서 승인된 IP이면서 점검결과 데이터베이스에 존재하는 경우, 침입탐지이벤트에서 event_name, Target_IP, URL, PROTOCOL 등의 탐지규칙 관련정보1을 추출하고, 해당 점검결과에서 IP, Service, Port, Vul_ID 등의 탐지규칙 관련정보2를 추출하며, 추출된 탐지규칙 관련정보1과 탐지규칙 관련정보2를 조합하여 새로운 탐지규칙을 생성한다.
또한, 위협탐지시스템은 침입탐지이벤트의 IP 정보가 침입차단시스템에서 승인된 IP이면서 점검결과 데이터베이스에 존재하는 경우, 해당 점검결과에서 IP, Service, Port, CVE의 취약점 관련 정보를 추출하고, 추출된 취약점 관련 정보를 이용하여 상관분석 시나리오를 생성한다.
도 10은 본 발명의 실시예에 따른 위협탐지시스템이 침입탐지 오탐을 개선하기 위한 방법을 나타낸 도면이다.
도 10을 참조하면, 위협탐지 시스템은 취약점 스캐너, 침입차단시스템, 침입탐지시스템으로부터 로그정보를 수집하여 저장한다(S1002).
S1002가 수행되면, 위협탐지시스템은 취약점 스캐너의 점검결과정보와 침입차단시스템의 차단정보를 비교하여 점검대상을 결정한다(S1004). 즉, 위협탐지시스템은 점검결과정보와 차단정보에서 각각 IP를 추출하고, 차단정보의 IP중에서 점검결과정보의 IP에 누락된 IP를 추출하여, 점검대상으로 추가한다.
그런 후 위협탐지시스템은 트래픽을 발생시켜 점검대상들에게 전송하고(S1006), 침입탐지시스템으로부터 침입탐지이벤트를 수신한다(S1008).
위협탐지시스템은 침입탐지이벤트와 수집된 로그정보를 근거로 상관분석 시나리오 또는 탐지규칙을 업데이트한다(S1010).
도 11은 본 발명의 실시예에 따른 침입탐지 오탐 개선을 위한 방법을 수행하는 기록매체를 설명하기 위한 도면이다.
도 11을 참조하면, 상술한 실시예들에 따른 침입탐지 오탐 개선을 위한 방법을 수행하는 컴퓨터에 실행시키는 프로그램의 적어도 일부가 위협탐지시스템(500)이 가지는 기록매체(580)에 저장되어 실행될 수 있다.
예를 들면, 취약점 스캐너로부터 점검결과정보와 취약점정보, 침입차단시스템으로부터 승인정보와 차단정보, 침입탐지시스템으로부터 침입탐지이벤트 중 적어도 하나를 포함하는 로그정보를 수집하는 단계, 상기 점검결과정보와 차단정보를 비교하여 점검대상을 추출하고, 상기 추출된 점검대상을 상기 취약점 스캐너의 점검스케줄에 추가하는 단계, 상기 수집된 침입탐지이벤트 중에서 승인정보 및 점검결과정보에 존재하는 침입탐지이벤트를 추출하고, 상기 추출된 침입탐지이벤트와 해당 점검결과로부터 탐지규칙 관련정보를 추출하여 새로운 탐지규칙을 생성하는 단계, 상기 수집된 침입탐지이벤트 중에서 승인정보 및 점검결과정보에 존재하는 침입탐지이벤트를 추출하고, 상기 추출된 침입탐지이벤트에 대응하는 점검결과로부터 취약점 관련정보를 추출하여 상관분석 시나리오를 생성하는 단계 등을 컴퓨터에 실행시키는 프로그램이 기록매체(580)에 저장되어 실행될 수 있다.
H/W 및 S/W 자원들(590)은 기록매체(580)에 저장된 프로그램이 동작하는데 필요한 하드웨어 자원과 소프트웨어 자원들을 통칭하는 것으로서, 하드웨어 자원으로는 CPU(Central Processing Unit), 메모리(MEMORY), 하드디스크, 네트워크 카드 등을 예로 들 수 있고, 소프트웨어 자원으로는 OS(Operating System), 하드웨어를 구동하기 위한 드라이버(driver)를 예로 들 수 있다.
예를 들면, 점검대상을 추출하고, 상관분석 시나리오를 생성하며, 탐지규칙을 생성하는 프로그램 등은 CPU의 제어 하에 메모리에 로딩되어 동작된다. 이처럼, 기록매체(580)에 저장된 프로그램들이 실행되기 위해서는 하드웨어 자원들 및/또는 소프트웨어 자원들이 필요하며, 이들 자원들과 테스크들간의 상호 작용은 본 발명적 개념이 속한 기술분야의 자라면 누구라도 쉽게 이해할 수 있는 기술일 것이다.
이러한 침입탐지 오탐 개선을 위한 방법은 프로그램으로 작성 가능하며, 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 침입탐지 오탐 개선을 위한 방법에 관한 프로그램은 전자장치가 읽을 수 있는 정보저장매체(Readable Media)에 저장되고, 전자장치에 의하여 읽혀지고 실행될 수 있다.
이와 같이, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 실시 형태로 실시될 수 있다는 것을 인지할 수 있을 것이다. 따라서 이상에서 기술한 실시 예들은 예시적인 것일 뿐이며, 그 범위를 제한해놓은 한정적인 것이 아닌 것으로 이해해야만 한다. 또한, 도면에 도시된 순서도들은 본 발명을 실시함에 있어서 가장 바람직한 결과를 달성하기 위해 예시적으로 도시된 순차적인 순서에 불과하며, 다른 추가적인 단계들이 제공되거나, 일부 단계가 삭제될 수 있음은 물론이다.
본 명세서에서 기술한 기술적 특징과 이를 실행하는 구현물은 디지털 전자 회로로 구현되거나, 본 명세서에서 기술하는 구조 및 그 구조적인 등가물 등을 포함하는 컴퓨터 소프트웨어, 펌웨어 또는 하드웨어로 구현되거나, 이들 중 하나 이상의 조합으로 구현 가능하다. 또한 본 명세서에서 기술한 기술적 특징을 실행하는 구현물은 컴퓨터 프로그램 제품, 다시 말해 처리 시스템의 동작을 제어하기 위하여 또는 이것에 의한 실행을 위하여 유형의 프로그램 저장매체 상에 인코딩된 컴퓨터 프로그램 명령어에 관한 모듈로서 구현될 수도 있다.
컴퓨터로 판독 가능한 매체는 기계로 판독 가능한 저장 장치, 기계로 판독 가능한 저장 기판, 메모리 장치, 기계로 판독 가능한 전파형 신호에 영향을 미치는 물질의 조성물 또는 이들 중 하나 이상의 조합일 수 있다.
한편, 본 명세서에서 "장치"나 "시스템"이라 함은 예를 들어, 프로세서, 컴퓨터 또는 다중 프로세서나 컴퓨터를 포함하여 데이터를 처리하기 위한 모든 기구, 장치 및 기계를 모두 포함한다. 처리 시스템은, 하드웨어에 부가하여 예를 들어, 프로세서 펌웨어를 구성하는 코드, 프로토콜 스택, 데이터베이스 관리 시스템, 운영 제체 또는 이들 중 하나 이상의 조합 등 요청 시 컴퓨터 프로그램에 대한 실행 환경을 형성하는 모든 코드를 포함할 수 있다.
프로그램, 소프트웨어, 소프트웨어 애플리케이션, 스크립트 또는 코드 등으로 알려진 컴퓨터 프로그램은 컴파일 되거나 해석된 언어 또는 선험적, 절차적 언어를 포함하는 프로그래밍 언어의 어떠한 형태로도 작성될 수 있으며, 독립형 프로그램이나 모듈, 컴포넌트, 서브루틴 또는 컴퓨터 환경에서 사용하기에 적합한 다른 유닛을 포함하여 어떠한 형태로도 구현될 수 있다.
한편, 컴퓨터 프로그램은 파일 시스템의 파일에 반드시 대응되는 것은 아니며, 요청된 프로그램에 제공되는 단일 파일 내에 또는 다중의 상호 작용하는 파일(예를 들어, 하나 이상의 모듈, 하위 프로그램 또는 코드의 일부를 저장하는 파일)내에, 또는 다른 프로그램이나 데이터를 보유하는 파일의 일부(예를 들어, 마크업 언어 문서 내에 저장되는 하나 이상의 스크립트)내에 저장될 수 있다.
컴퓨터 프로그램은 하나의 사이트에 위치하거나 복수의 사이트에 걸쳐서 분산되어 유/무선 통신 네트워크에 의해 상호 접속된 다중 컴퓨터나 하나 이상의 컴퓨터 상에서 실행되도록 구현될 수 있다.
한편, 컴퓨터 프로그램 명령어와 데이터를 저장하기에 적합한 컴퓨터로 판독 가능한 매체는, 예를 들어 EPROM, EEPROM 및 플래시메모리 장치와 같은 반도체 메모리 장치, 예컨대 내부 하드디스크나 외장형 디스크와 같은 자기 디스크, 자기광학 디스크 및 CD와 DVD 디스크를 포함하여 모든 형태의 비휘발성 메모리, 매체 및 메모리 장치를 포함할 수 있다. 프로세서와 메모리는 특수 목적의 논리 회로에 의해 보충되거나, 그것에 통합될 수 있다.
본 명세서에서 기술한 기술적 특징을 실행하는 구현물은 예를 들어, 데이터 서버와 같은 백엔드 컴포넌트를 포함하거나, 예를 들어, 애플리케이션 서버와 같은 미들웨어 컴포넌트를 포함하거나, 예컨대 사용자가 본 명세서에서 설명한 주제의 구현물과 상호 작용할 수 있는 웹 브라우저나 그래픽 유저 인터페이스를 갖는 클라이언트 컴퓨터와 같은 프론트엔드 컴포넌트 혹은 그러한 백엔드, 미들웨어 혹은 프론트엔드 컴포넌트의 하나 이상의 모든 조합을 포함하는 연산 시스템에서 구현될 수도 있다. 시스템의 컴포넌트는 예를 들어, 통신 네트워크와 같은 디지털 데이터 통신의 어떠한 형태나 매체에 의해서도 상호 접속 가능하다.
이하, 상기 기술한 내용과 더불어 본 명세서에 기술한 시스템과 침입탐지 오탐 개선을 위한 방법이 포함하는 구성들을 구현할 수 있는 보다 구체적인 실시 예에 대하여 자세히 기술하도록 한다.
본 명세서에서 기술한 시스템과 침입탐지 오탐 개선을 위한 방법은 클라이언트 디바이스 또는 웹 기반의 스토리지 시스템과 관련된 서버 또는 서버에 포함된 하나 이상의 프로세서(Processor) 상에서 컴퓨터 소프트웨어, 프로그램 코드 또는 명령어를 실행하는 수단을 통해 부분적 또는 전체적으로 사용될 수 있다. 여기서 프로세서는 서버, 클라이언트, 네트워크 인프라 구조, 모바일 컴퓨팅 플랫폼, 고정 컴퓨팅 플랫폼 등과 같은 컴퓨팅 플랫폼 중 일부일 수 있으며, 구체적으로 프로그램 명령어, 코드 등을 실행할 수 있는 컴퓨터 또는 프로세싱 디바이스의 한 종류일 수 있다. 또한, 프로세서는 침입탐지 오탐 개선을 위한 방법, 명령어, 코드 및 프로그램을 저장하는 메모리를 더 포함할 수 있으며, 메모리를 포함하지 않는 경우 별도의 인터페이스를 통해 침입탐지 오탐 개선을 위한 방법, 명령어, 코드 및 프로그램이 저장된 CD-ROM, DVD, 메모리, 하드 디스크, 플래시 드라이브, RAM, ROM, 캐시 등과 같은 스토리지 디바이스에 접근(Access)할 수도 있다.
또한, 본 명세서에서 기술한 시스템과 침입탐지 오탐 개선을 위한 방법은 서버, 클라이언트, 게이트웨이, 허브, 라우터 또는 네트워크 하드웨어 상의 컴퓨터 소프트웨어를 실행하는 장치를 통해 부분적 또는 전체적으로 사용될 수 있다. 여기서 소프트웨어는 파일 서버, 프린트 서버, 도메인 서버, 인터넷 서버, 인트라넷 서버, 호스트 서버, 분산 서버 등과같이 다양한 종류의 서버에서 실행될 수 있으며, 상기 언급한 서버들은 메모리, 프로세서, 컴퓨터에서 판독 가능한 저장매체, 스토리지 매체, 통신 디바이스, 포트, 클라이언트 그리고 다른 서버들을 유/무선 네트워크를 통해 접근할 수 있는 인터페이스를 더 포함할 수 있다.
또한, 침입탐지 오탐 개선을 위한 방법, 명령어, 코드 등 역시 서버에 의해 실행될 수 있으며, 침입탐지 오탐 개선을 위한 방법을 실행하기 위해 필요한 다른 디바이스들은 서버와 연관된 계층구조의 일 부분으로 구현될 수 있다.
아울러, 서버는 클라이언트, 다른 서버, 프린터, 데이터베이스 서버, 프린트 서버, 파일 서버, 통신 서버, 분산 서버 등을 제한 없이 포함하는 다른 디바이스에게 인터페이스를 제공할 수 있으며, 인터페이스를 통한 연결은 유/무선 네트워크를 통해 프로그램의 원격 실행을 용이하게 할 수 있다.
또한, 인터페이스를 통해 서버에 연결된 디바이스 중 어느 것이라도 침입탐지 오탐 개선을 위한 방법, 명령어, 코드 등을 저장할 수 있는 적어도 하나의 스토리지 디바이스를 더 포함할 수 있으며, 서버의 중앙 프로세서는 상이한 디바이스 상에서 실행될 명령어, 코드 등을 디바이스에 제공하여 스토리지 디바이스에 저장되게 할 수 있다.
한편, 본 명세서에서 기술한 시스템과 침입탐지 오탐 개선을 위한 방법은 네트워크 인프라구조를 통해 부분적 또는 전체적으로 사용될 수 있다. 여기서 네트워크 인프라구조는 컴퓨팅 디바이스, 서버, 라우터, 허브, 방화벽, 클라이언트, 개인용 컴퓨터, 통신 디바이스, 라우팅 디바이스 등과 같은 디바이스와 각각의 기능을 실행할 수 있는 별도의 모듈 등을 모두 포함할 수 있으며, 상기 언급한 디바이스와 모듈 외에 스토리 플래시 메모리, 버퍼, 스택, RAM, ROM 등과 같은 스토리지 매체를 더 포함할 수 있다. 또한, 침입탐지 오탐 개선을 위한 방법, 명령어, 코드 등 역시 네트워크 인프라구조가 포함하는 디바이스, 모듈, 스토리지 매체 중 어느 하나에 의해 실행 및 저장될 수 있으며, 침입탐지 오탐 개선을 위한 방법을 위한 방법을 실행하기 위해 필요한 다른 디바이스 역시 네트워크 인프라구조의 일 부분으로 구현될 수 있다.
또한, 본 명세서에서 기술한 시스템과 침입탐지 오탐 개선을 위한 방법은 하드웨어 또는 특정 애플리케이션(Application)에 적합한 하드웨어와 소프트웨어의 조합으로 구현될 수 있다. 여기서 하드웨어는 개인용 컴퓨터, 이동통신 단말기 등과 같은 범용 컴퓨터 디바이스와 기업형 특정 컴퓨터 디바이스를 모두 포함하며, 컴퓨터 디바이스는 메모리, 마이크로프로세서, 마이크로콘트롤러, 디지털 신호 프로세서, 애플리케이션 집적 회로, 프로그래머블 게이트 어레이, 프로그래머블 어레이 조직 등을 포함하는 디바이스 또는 이들의 조합으로 구현될 수 있다.
이상에서 기술한 컴퓨터 소프트웨어, 명령어, 코드 등은 판독 가능한 디바이스에 의해 저장 또는 접근될 수 있으며, 여기서 판독 가능한 디바이스는 일정 시간 간격 동안 컴퓨팅하는데 사용되는 디지털 데이터를 구비하는 컴퓨터 컴포넌트, RAM 또는 ROM과 같은 반도체 스토리지, 광디스크와 같은 영구적인 스토리지, 하드 디스크, 테이프, 드럼 등과 같은 대용량 스토리지, CD 또는 DVD와 같은 광 스토리지, 플래시 메모리, 플로피 디스크, 자기 테이프, 페이퍼 테이프, 독립형 RAM 디스크, 컴퓨터로부터 착탈 가능한 대용량 스토리지와 동적 메모리, 정적 메모리, 가변 스토리지, 클라우드와 같은 네트워크 접속형 스토리지 등과 같은 메모리를 포함할 수 있다. 한편, 여기서 명령어와 코드 등은 SQL, dBase 등과 같은 데이터 지향 언어, C, Objective C, C++, 어셈블리 등과 같은 시스템 언어, Java, NET 등과 같은 아키텍처 언어, PHP, Ruby, Perl, Python 등과 같은 애플리케이션 언어 등과 같은 언어들을 모두 포함하지만, 이에 한정되지는 않고 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 널리 알려진 언어들을 모두 포함할 수 있다.
또한, 본 명세서에서 기술한 "컴퓨터에서 판독 가능한 매체"는 프로그램 실행을 위해 명령어를 프로세서로 제공하는데 기여하는 모든 매체를 포함한다. 구체적으로 데이터 스토리지 디바이스, 광디스크, 자기 디스크 등과 같은 비휘발성 매체, 동적 메모리 등과 같은 휘발성 매체와 데이터를 전송하는 동축 케이블, 구리 와이어, 광섬유 등과 같은 전송 매체를 포함하지만 이에 한정되지는 않는다.
한편, 본 명세서에 첨부된 도면에 도시된 블록도와 순서도에 포함된 본 발명의 기술적 특징을 실행하는 구성들은 상기 구성들 사이의 논리적인 경계를 의미한다.
그러나 소프트웨어나 하드웨어의 실시 예에 따르면, 도시된 구성들과 그 기능들은 독립형 소프트웨어 모듈, 모놀리식 소프트웨어 구조, 코드, 서비스 및 이들을 조합한 형태로 실행되며, 저장된 프로그램 코드, 명령어 등을 실행할 수 있는 프로세서를 구비한 컴퓨터에서 실행 가능한 매체에 저장되어 그 기능들이 구현될 수 있으므로 이러한 모든 실시 예 역시 본 발명의 권리범위 내에 속하는 것으로 보아야 할 것이다.
따라서, 첨부된 도면과 그에 대한 기술은 본 발명의 기술적 특징을 설명하기는 하나, 이러한 기술적 특징을 구현하기 위한 소프트웨어의 특정 배열이 분명하게 언급되지 않는 한, 단순히 추론되어서는 안된다. 즉, 이상에서 기술한 다양한 실시 예들이 존재할 수 있으며, 그러한 실시 예들이 본 발명과 동일한 기술적 특징을 보유하면서 일부 변형될 수 있으므로, 이 역시 본 발명의 권리범위 내에 속하는 것으로 보아야 할 것이다.
또한, 순서도의 경우 특정한 순서로 도면에서 동작들을 묘사하고 있지만, 이는 가장 바람직한 결과를 얻기 위하여 도시된 것으로서, 도시된 특정한 순서나 순차적인 순서대로 그러한 동작들을 반드시 실행되어야 한다거나 모든 도시된 동작들이 반드시 실행되어야 하는 것으로 이해되어서는 안 된다. 특정한 경우, 멀티 태스킹과 병렬 프로세싱이 유리할 수 있다. 아울러, 이상에서 기술한 실시형태의 다양한 시스템 컴포넌트의 분리는 그러한 분리를 모든 실시형태에서 요구하는 것으로 이해되어서는 안되며, 설명한 프로그램 컴포넌트와 시스템들은 일반적으로 단일의 소프트웨어 제품으로 함께 통합되거나 다중 소프트웨어 제품에 패키징될 수 있다는 점을 이해하여야 한다.
이와 같이, 본 명세서는 그 제시된 구체적인 용어에 의해 본 발명을 제한하려는 의도가 아니다. 따라서, 이상에서 기술한 실시 예를 참조하여 본 발명을 상세하게 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 본 발명의 범위를 벗어나지 않으면서도 본 실시 예들에 대한 개조, 변경 및 변형을 가할 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 권리범위에 포함되는 것으로 해석되어야 한다.
본 발명은 침입탐지 오탐 개선을 위한 시스템 및 방법을 제공함으로써, 침입탐지시스템의 오탐(잘못된 탐지) 확률을 줄일 수 있고, 외부공격 트래픽이 발생하지 않아도 침입탐지시스템이 내부 취약점을 탐지할 수 있으며, 해커나 신종 exploit 등 공개되지 않은 방식 등에 의한 유해 트래픽을 탐지할 수 있다.
100 : 취약점 스캐너
200 : 침입차단시스템
300 : 침입탐지시스템
400 : 보안로그 상관분석 시스템
500 : 위협탐지시스템
510 : 데이터베이스
520 : 점검대상 추출부
530 : 이벤트 처리부
540 : 상관분석 제어부
550 : 탐지규칙 제어부
560 : 취약점 제어부
570 : 제어부
150 : 근거리 통신부

Claims (10)

  1. 보호 대상이 되는 적어도 하나의 자산(asset)의 취약점을 점검하고, 그 점검결과정보와 취약점정보를 위협탐지시스템으로 전송하는 취약점 스캐너;
    외부로부터 내부망 보호를 위한 승인정보와 차단정보를 상기 위협탐지시스템으로 전송하는 침입차단 시스템;
    시그니처 기반으로 외부 공격을 탐지하고, 침입탐지이벤트를 상기 위협탐지시스템으로 전송하는 침입탐지시스템; 및
    상기 취약점 스캐너, 침입차단시스템, 침입탐지시스템으로부터 로그정보를 수집하고, 상기 수집된 로그정보를 근거로 점검대상, 상관분석 시나리오, 탐지규칙 중 적어도 하나를 업데이트하는 위험탐지시스템;
    을 포함하는 침입탐지 오탐 개선을 위한 시스템.
  2. 제1항에 있어서,
    상기 위협탐지시스템은 상기 취약점 스캐너로부터의 점검결과정보와 취약점 정보, 상기 침입차단시스템으로부터의 승인정보와 차단정보, 상기 침입탐지시스템으로부터의 침입탐지이벤트 중 적어도 하나가 저장된 데이터베이스;
    상기 데이터베이스에 저장된 점검결과정보와 차단정보를 비교하여 점검대상을 추출하고, 상기 추출된 점검대상을 상기 취약점 스캐너의 점검스케줄에 추가하는 점검대상 추출부를 포함하는 것을 특징으로 하는 침입탐지 오탐 개선을 위한 시스템.
  3. 제2항에 있어서,
    상기 데이터베이스에 저장된 침입탐지이벤트 중에서 승인정보 및 점검결과정보에 존재하는 침입탐지이벤트를 추출하고, 상기 추출된 침입탐지이벤트와 해당 점검결과로부터 탐지규칙 관련정보를 추출하여 새로운 탐지규칙을 생성하는 탐지규칙 제어부를 더 포함하는 것을 특징으로 하는 침입탐지 오탐 개선을 위한 시스템.
  4. 제2항에 있어서,
    상기 데이터베이스에 저장된 침입탐지이벤트 중에서 승인정보 및 점검결과정보에 존재하는 침입탐지이벤트를 추출하고, 상기 추출된 침입탐지이벤트에 대응하는 점검결과로부터 취약점 관련정보를 추출하여 상관분석 시나리오를 생성하는 취약점 제어부를 더 포함하는 것을 특징으로 하는 침입탐지 오탐 개선을 위한 시스템.
  5. 제2항에 있어서,
    상기 취약점 스캐너는 상기 점검스케줄에 추가된 점검대상에 트랙픽을 발생시키는 것을 특징으로 하는 침입탐지 오탐 개선을 위한 시스템.
  6. 제2항에 있어서,
    상기 점검대상 추출부에서 추출된 점검대상에 트래픽을 전송하고, 상기 침입탐지시스템으로부터 상기 트래픽에 의한 침입탐지이벤트가 수신된 경우, 상기 수신된 침입탐지이벤트를 상기 데이터베이스에 저장하는 이벤트 처리부를 더 포함하는 침입탐지 오탐 개선을 위한 시스템.
  7. 위협탐지시스템이 침입탐지 오탐을 개선하기 위한 방법에 있어서,
    취약점 스캐너로부터 점검결과정보와 취약점정보, 침입차단시스템으로부터 승인정보와 차단정보, 침입탐지시스템으로부터 침입탐지이벤트 중 적어도 하나를 포함하는 로그정보를 수집하는 단계; 및
    상기 점검결과정보와 차단정보를 비교하여 점검대상을 추출하고, 상기 추출된 점검대상을 상기 취약점 스캐너의 점검스케줄에 추가하는 단계;
    를 포함하는 침입탐지 오탐 개선을 위한 방법.
  8. 제7항에 있어서,
    상기 수집된 침입탐지이벤트 중에서 승인정보 및 점검결과정보에 존재하는 침입탐지이벤트를 추출하고, 상기 추출된 침입탐지이벤트와 해당 점검결과로부터 탐지규칙 관련정보를 추출하여 새로운 탐지규칙을 생성하는 단계를 더 포함하는 침입탐지 오탐 개선을 위한 방법.
  9. 제7항에 있어서,
    상기 수집된 침입탐지이벤트 중에서 승인정보 및 점검결과정보에 존재하는 침입탐지이벤트를 추출하고, 상기 추출된 침입탐지이벤트에 대응하는 점검결과로부터 취약점 관련정보를 추출하여 상관분석 시나리오를 생성하는 단계를 더 포함하는 침입탐지 오탐 개선을 위한 방법.
  10. 제7항에 있어서,
    상기 취약점 스캐너는 상기 점검스케줄에 추가된 점검대상에 트랙픽을 발생시키는 것을 특징으로 하는 침입탐지 오탐 개선을 위한 방법.
KR1020150146241A 2015-10-20 2015-10-20 침입탐지 오탐 개선을 위한 시스템 및 방법 KR101768079B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150146241A KR101768079B1 (ko) 2015-10-20 2015-10-20 침입탐지 오탐 개선을 위한 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150146241A KR101768079B1 (ko) 2015-10-20 2015-10-20 침입탐지 오탐 개선을 위한 시스템 및 방법

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020160142465A Division KR101767591B1 (ko) 2016-10-28 2016-10-28 침입탐지 오탐 개선을 위한 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20170046001A true KR20170046001A (ko) 2017-04-28
KR101768079B1 KR101768079B1 (ko) 2017-08-14

Family

ID=58702085

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150146241A KR101768079B1 (ko) 2015-10-20 2015-10-20 침입탐지 오탐 개선을 위한 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101768079B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101880217B1 (ko) * 2017-11-30 2018-07-19 (주)씨커스 보안 위협 분석을 위한 시나리오 자동 생성 장치 및 방법
KR102134653B1 (ko) * 2019-11-25 2020-07-16 한국인터넷진흥원 익스플로잇 공격에 대한 탐지 정확도를 향상시키기 위한 룰 최적화 장치 및 그 방법
CN111989680A (zh) * 2018-10-17 2020-11-24 松下电器(美国)知识产权公司 入侵地点确定装置以及入侵地点确定方法
KR102367546B1 (ko) * 2021-10-08 2022-02-25 주식회사 이글루시큐리티 스트리밍 분석 및 배치 분석을 이용하는 이기종 간 하이브리드 상관 분석 방법 및 이를 지원하는 장치
KR20230046182A (ko) * 2021-12-31 2023-04-05 (주)너울리 네트워크에 대한 침해 공격을 탐지하는 장치, 방법 및 컴퓨터 프로그램

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101880217B1 (ko) * 2017-11-30 2018-07-19 (주)씨커스 보안 위협 분석을 위한 시나리오 자동 생성 장치 및 방법
CN111989680A (zh) * 2018-10-17 2020-11-24 松下电器(美国)知识产权公司 入侵地点确定装置以及入侵地点确定方法
KR102134653B1 (ko) * 2019-11-25 2020-07-16 한국인터넷진흥원 익스플로잇 공격에 대한 탐지 정확도를 향상시키기 위한 룰 최적화 장치 및 그 방법
US11057425B2 (en) 2019-11-25 2021-07-06 Korea Internet & Security Agency Apparatuses for optimizing rule to improve detection accuracy for exploit attack and methods thereof
KR102367546B1 (ko) * 2021-10-08 2022-02-25 주식회사 이글루시큐리티 스트리밍 분석 및 배치 분석을 이용하는 이기종 간 하이브리드 상관 분석 방법 및 이를 지원하는 장치
KR20230046182A (ko) * 2021-12-31 2023-04-05 (주)너울리 네트워크에 대한 침해 공격을 탐지하는 장치, 방법 및 컴퓨터 프로그램

Also Published As

Publication number Publication date
KR101768079B1 (ko) 2017-08-14

Similar Documents

Publication Publication Date Title
JP6334069B2 (ja) 悪意のあるコードの検出の精度保証のためのシステムおよび方法
US9674215B2 (en) Software program identification based on program behavior
US10893059B1 (en) Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10454950B1 (en) Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US9531740B2 (en) Software program identification based on program behavior
US20160241574A1 (en) Systems and methods for determining trustworthiness of the signaling and data exchange between network systems
US11962606B2 (en) Protecting serverless applications
US8495743B2 (en) Methods and apparatus providing automatic signature generation and enforcement
KR101768079B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
US20140181972A1 (en) Preventive intrusion device and method for mobile devices
KR102222377B1 (ko) 위협 대응 자동화 방법
US11777961B2 (en) Asset remediation trend map generation and utilization for threat mitigation
CN113660224A (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
US20210409446A1 (en) Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file
Sequeira Intrusion prevention systems: security's silver bullet?
US20190109824A1 (en) Rule enforcement in a network
KR101767591B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及系统
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
KR20170091989A (ko) 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
CN110086812B (zh) 一种安全可控的内网安全巡警系统及方法
CN116781380A (zh) 一种校园网安全风险终端拦截溯源系统
JP7172104B2 (ja) ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法
CN113824678A (zh) 处理信息安全事件以检测网络攻击的系统和方法

Legal Events

Date Code Title Description
A201 Request for examination
A107 Divisional application of patent
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant